Jaa

Mukautettujen funktioiden käyttäminen

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Funktiotyypit

Funktio on kehittyneessä metsästyksessä käytettävä kyselytyyppi, jota voidaan käyttää muissa kyselyissä ikään kuin se olisi komento. Voit luoda omia mukautettuja funktioita, jotta voit käyttää mitä tahansa kyselylogiikkaa uudelleen, kun metsästät ympäristössäsi.

Kehittyneessä metsästyksessä on kolme erityyppistä funktiota:

Funktiotyypit

  • Sisäiset funktiot – Valmiit funktiot, jotka sisältyvät Microsoft Defender XDR kehittyneeseen metsästykseen. Ne ovat saatavilla kaikissa kehittyneen metsästyksen esiintymissä, eikä niitä voi muokata.
  • Jaetut funktiot – Käyttäjien luomat mukautetut funktiot, jotka ovat käytettävissä tietyn vuokraajan kaikille käyttäjille ja joita käyttäjät voivat muokata ja hallita.
  • Omat funktiot – Käyttäjän luomat mukautetut funktiot, joita voi tarkastella ja muokata vain sen luonut käyttäjä.

Oman mukautetun funktion kirjoittaminen

Jos haluat luoda funktion editorin nykyisestä kyselystä, valitse Tallenna ja sitten Tallenna funktiona.

Tallenna funktiona

Anna seuraavaksi seuraavat tiedot:

  • Name – Funktion nimi. Voi sisältää vain numeroita, englanninkielisiä kirjaimia ja alaviivoja. Jotta kusto-avainsanoja ei käytetä vahingossa, aloita tai lopeta funktioiden nimet alaviivalla tai aloita isolla kirjaimella.

  • Location – Kansio, johon haluat tallentaa funktion, joko jaettuna tai yksityisenä.

  • Description – Kuvaus, joka auttaa muita käyttäjiä ymmärtämään funktion tarkoituksen ja toiminnan.

  • Parametrit : lisää kullekin funktion muuttujalle parametri, joka edellyttää arvoa, kun sitä käytetään. Lisää funktioon parametreja, jotta voit antaa tiettyjen muuttujien argumentit tai arvot funktiota kutsuttaessa. Näin samaa funktiota voidaan käyttää eri kyselyissä, joista jokainen mahdollistaa parametrien eri arvot. Parametrit määritetään seuraavilla ominaisuuksilla:

    • Type – Arvon tietotyyppi
    • Name – Nimi, jota on käytettävä kyselyssä parametriarvon korvaamiseksi
    • Oletusarvo – Arvo, jota käytetään parametrille, jos arvoa ei ole annettu

    Parametrit luetellaan siinä järjestyksessä, jossa ne on luotu. Niiden parametrien yllä ei ole oletusarvoa, joilla on oletusarvo.

Tallenna funktiona -valintaikkuna

Käytä mukautettua funktiota

Käytä funktiota kyselyssä kirjoittamalla sen nimi ja minkä tahansa parametrin arvot samalla tavalla kuin komennossa. Funktion tulos voidaan joko palauttaa tuloksina tai putkittaa toiseen komentoon.

Lisää funktio nykyiseen kyselyyn kaksoisnapsauttamalla sen nimeä tai valitsemalla kolme pistettä funktion oikealla puolella ja valitsemalla Avaa kyselyeditorissa.

Jos kysely edellyttää argumentteja, anna ne käyttämällä seuraavaa syntaksia: function_name(parametri 1, parametri 2, ...)

Avaa kyselyeditorissa

Huomautus

Funktioita ei voi käyttää toisen funktion sisällä.

Funktiokoodien käsitteleminen

Voit tarkastella funktion koodia joko saadaksesi tietoa sen toiminnasta tai muokataksesi sen koodia. Valitse kolme kohtaa funktion oikealta puolelta ja valitse Lataa funktiokoodi avataksesi uuden välilehden, jossa on funktiokoodi.

Lataa funktiokoodi

Muokkaa mukautettua funktiota

Muokkaa funktion ominaisuuksia valitsemalla kolme pistettä funktion oikealta puolelta ja valitsemalla Muokkaa tietoja. Tee haluamasi muutokset funktion ominaisuuksiin ja parametreihin ja valitse sitten Tallenna.

Muokkaa funktiokoodia

Jos funktiokoodi on jo ladattu editoriin, voit myös valita Tallenna ottaaksesi muutokset käyttöön funktion koodissa tai ominaisuuksissa.

Huomautus

Kun funktio on käytössä tallennetussa kyselyssä tai tunnistussäännössä, et voi muokata funktiota laajentaaksesi sen vaikutusaluetta. Jos esimerkiksi tallensit funktion, joka tekee kyselyjä käyttäjätietotaulukoihin, ja tätä funktiota käytetään tunnistussäännössä, et voi muokata funktiota sisältämään laitetaulukkoa faktan jälkeen. Voit tehdä tämän tallentamalla uuden funktion. Tuotekopio voidaan kaventaa samalle funktiolle, mutta ei laajentaa.

Mukautetun funktion poistaminen

Voit poistaa funktioita Kohdasta Omat funktiot ja funktiot, jotka loit jaetuissa funktioissa. Et voi poistaa funktioita, joita et ole luonut, ellei sinulla ole suojaustietojen hallintaoikeuksia.

Jos haluat poistaa funktion, valitse kolme kohtaa funktion oikealla puolella ja valitse Poista.

Näyttökuva, jossa näytetään, miten voit poistaa mukautetun funktion.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.